✔ 最佳答案
病毒名稱:(1)Trojan.Peacomm,(2)W32.Sober.X@mm
病毒種類:木馬,蠕蟲
病毒發作日期/啓動方式:
(1).此間諜軟件在執行時,會在視窗的系統資料夾內加入以下檔案:
peers.ini - 非惡意檔案
wincom32.sys - 同時被識別為 TROJ_SMALL.EDW
其後此病毒會登錄成服務,確保每次系統啟動時都會被自動執行。 它會在註冊表加入下列機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
病毒會連接到以下網址,下載並執行有潛在危險的檔案:
http://205.209.{BLOCKED}.112/cp/rule.php
http://209.123.{BLOCKED}.198/cp/rule.php
http://217.107.{BLOCKED}.187/cp/rule.php
http://217.107.{BLOCKED}.187/game0.exe
http://217.107.{BLOCKED}.187/sp/post.php
http://69.50.{BLOCKED}.234/cp/rule.php
http://81.177.{BLOCKED}.169/dir/
http://81.177.{BLOCKED}.27/cp/rule.php
(2).複製自己到以下的檔案:
%Windir%\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe
注意:%Windir% 是一個參照視窗安裝資料夾的參數。它的預設是 C:\Windows
3. 建立以下的檔案,這是一個內含蠕蟲複本的 MIME 加密的 .zip 檔案:
%Windir%\WinSecurity\socket1.ifo
4. 建立以下沒有惡意的檔案:
%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory
%Windir%\WinSecurity\sysonce.tst
%Windir%\WinSecurity\starter.run
%Windir%\WinSecurity\nexttroj.tro
%Windir%\System\bbvmwxxf.hml
%Windir%\System\langeinf.lin
%Windir%\System\nonrunso.ber
%Windir%\System\rubezahl.rub